Det er ikke lenger et krav om konsesjon fra Datatilsynet for å behandle sensitive personopplysninger i forskningsprosjekter, kvalitetssikringsprosjekter og helseregistre som ikke har hjemmel i lov eller forskrift. Men selv om kravet om konsesjon ikke er videreført, er det ikke fritt frem å behandle personopplysninger.
Den behandlingsansvarlige må selv vurdere om personopplysningslovens krav til behandling av sensitive personopplysninger (særskilte kategorier av personopplysninger) er oppfylt.
Her er en kort gjennomgang av hvilke vurderinger de behandlingsansvarlige må gjøre før de starter behandlingen av sensitive personopplysninger.
For medisinsk og helsefaglig forskning har forhåndsgodkjenning fra REK vært tilstrekkelig og nødvendig behandlingsgrunnlag for behandling av personopplysninger i forskningsprosjekt. Dette gjelder ikke lenger (helseforskningsloven § 33). Det betyr at REK ikke skal vurdere om forskningsprosjektets behandling av personopplysninger oppfyller kravene i personvernregelverket.
REK skal fremdeles gjøre etiske vurderinger og gi dispensasjon fra taushetsplikt. Disse vurderingene omfatter i noen tilfeller også vurderinger om personvernet til de som inngår i utvalget.
Den behandlingsansvarlige har plikt til å påse og dokumentere at behandlingen av personopplysninger skjer i samsvar med forordningen. Den behandlingsansvarlige er den som bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes. Dette kan for eksempel være en forskningsinstitusjon eller et helseforetak.
Vi anbefaler at den behandlingsansvarlige utarbeider rutiner for å vurdere behandlingen av personopplysninger. I rutinen bør det stå tydelig hvem som er ansvarlig for å gjøre vurderingene. Ansvaret kan for eksempel være plassert hos den som er prosjektleder for de enkelte forskningsprosjektene eller den som er ansvarlig for helseforetakets helseregistre.
Ved utlevering av personopplysninger fra registrene, må den behandlingsansvarlige selv vurdere om utleveringen er i tråd med registerets formål. Den behandlingsansvarlige må også vurdere om personvernregelverket. Ved sammenstilling av personopplysninger fra flere registre, må hver behandlingsansvarlig gjøre disse vurderingene.
Når flere parter samarbeider om et forskningsprosjekt eller helseregister, må partene avklare hvem som er behandlingsansvarlig og hvem som er databehandler. Det kan også være felles behandlingsansvar. Når en av partene er databehandler, må det inngås en databehandleravtale. Ved felles behandlingsansvar, må partene inngå en avtale som klart fordeler ansvaret mellom dem.
Mange av pliktene en behandlingsansvarlig har, må gjennomføres på organisasjonsnivå og ikke i det enkelte forskningsprosjekt eller helseregister. Vi gjennomgår ikke alle pliktene som finnes i personvernregelverket her, men henviser til den generelle samlesiden vår om pliktene en virksomhet har.
I personvernforordningen er det et sett med grunnleggende prinsipper som gjelder for all behandling av personopplysninger. Prinsippene ivaretas gjennom forordningens øvrige artikler, men den behandlingsansvarlige har også selvstendig plikt til å sørge for at de oppfyller prinsippene. Den behandlingsansvarlige må lage retningslinjer for hvordan prinsippene skal ivaretas.
Når det behandles personopplysninger i forskningsprosjekter og helseregistre, er det spesielt viktig å beskrive hva som er formålet med behandlingen. Det er fordi det setter rammer for de andre vurderingene som må gjøres. Formålet vil for eksempel gi grunnlag for å vurdere hvilke personopplysninger som er adekvate, relevante og nødvendige (prinsippet om dataminimering) og hvor lenge personopplysningene kan behandles (prinsippet om lagringsbegrensning).
Kravene om innebygd personvern og personvern som standardinnstilling gjelder for all behandling av personopplysninger. For å oppfylle kravene må den behandlingsansvarlige iverksette organisatoriske og tekniske tiltak for å gjennomføre grunnprinsippene for behandling av personopplysninger.
Det enkelte forskningsprosjekt eller helseregister må vurdere om den aktuelle behandlingen av personopplysninger oppfyller kravene til innebygd personvern.
Den behandlingsansvarlige skal fastsette sikkerhetsnivå for behandling av personopplysninger i registre og forskningsprosjekter, jf. personvernforordningen artikkel 32. Utgangspunktet er at denne vurderingen skal være gjort på virksomhetsnivå. Det skal derfor ikke skal være nødvendig å vurdere sikkerhetsnivået i det enkelte forskningsprosjekt eller helseregister.
Det kan likevel være unntak dersom behandlingen medfører risiko for fysiske personers rettigheter og friheter, og denne risikoen som har høyere sannsynlighets- og alvorlighetsgrad enn det som er lagt til grunn i den generelle vurderingen. I slike tilfeller kan det være nødvendig med ekstra sikkerhetstiltak.